低危 botan 安全漏洞 (CVE-2017-14737)

CVE编号

CVE-2017-14737

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-09-26

漏洞描述

Botan是一款使用C++编写的加密算法库，它支持AES、DES、SHA-1、RSA、DSA和Diffie-Hellman等多种算法。 Botan 1.10.17之前的版本、1.11.x版本和2.3.0之前的2.x版本中的RSA实现存在安全漏洞。本地攻击者可利用该漏洞恢复有关RSA私钥的信息。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：https://botan.randombit.net/

参考链接
https://github.com/randombit/botan/issues/1222
https://lists.debian.org/debian-lts-announce/2021/11/msg00006.html
https://www.usenix.org/conference/usenixsecurity17/technical-sessions/present...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	botan_project	botan	*		Up to (including) 1.10.16
	运行在以下环境
	应用	botan_project	botan	1.11.0	-
	运行在以下环境
	应用	botan_project	botan	1.11.1	-
	运行在以下环境
	应用	botan_project	botan	1.11.10	-
	运行在以下环境
	应用	botan_project	botan	1.11.11	-
	运行在以下环境
	应用	botan_project	botan	1.11.12	-
	运行在以下环境
	应用	botan_project	botan	1.11.13	-
	运行在以下环境
	应用	botan_project	botan	1.11.14	-
	运行在以下环境
	应用	botan_project	botan	1.11.15	-
	运行在以下环境
	应用	botan_project	botan	1.11.16	-
	运行在以下环境
	应用	botan_project	botan	1.11.17	-
	运行在以下环境
	应用	botan_project	botan	1.11.18	-
	运行在以下环境
	应用	botan_project	botan	1.11.19	-
	运行在以下环境
	应用	botan_project	botan	1.11.2	-
	运行在以下环境
	应用	botan_project	botan	1.11.20	-
	运行在以下环境
	应用	botan_project	botan	1.11.21	-
	运行在以下环境
	应用	botan_project	botan	1.11.22	-
	运行在以下环境
	应用	botan_project	botan	1.11.23	-
	运行在以下环境
	应用	botan_project	botan	1.11.24	-
	运行在以下环境
	应用	botan_project	botan	1.11.25	-
	运行在以下环境
	应用	botan_project	botan	1.11.26	-
	运行在以下环境
	应用	botan_project	botan	1.11.27	-
	运行在以下环境
	应用	botan_project	botan	1.11.28	-
	运行在以下环境
	应用	botan_project	botan	1.11.3	-
	运行在以下环境
	应用	botan_project	botan	1.11.33	-
	运行在以下环境
	应用	botan_project	botan	1.11.34	-
	运行在以下环境
	应用	botan_project	botan	1.11.4	-
	运行在以下环境
	应用	botan_project	botan	1.11.5	-
	运行在以下环境
	应用	botan_project	botan	1.11.6	-
	运行在以下环境
	应用	botan_project	botan	1.11.7	-
	运行在以下环境
	应用	botan_project	botan	1.11.8	-
	运行在以下环境
应用	botan_project	botan	1.11.9	-
运行在以下环境
应用	botan_project	botan	2.0.0	-
运行在以下环境
应用	botan_project	botan	2.0.1	-
运行在以下环境
应用	botan_project	botan	2.1.0	-
运行在以下环境
应用	botan_project	botan	2.2.0	-
运行在以下环境
系统	debian_7	botan1.10	*		Up to (excluding) 1.10.5-1+deb7u4
运行在以下环境
系统	debian_9	botan1.10	*		Up to (excluding) 1.10.17-1+deb9u1
运行在以下环境
系统	fedora_25	python2-botan	*		Up to (excluding) 1.10.17-1.fc25
运行在以下环境
系统	fedora_26	python2-botan	*		Up to (excluding) 1.10.17-1.fc26
运行在以下环境
系统	fedora_27	botan-debugsource	*		Up to (excluding) 1.10.17-1.fc27
运行在以下环境
系统	fedora_EPEL_7	python2-botan	*		Up to (excluding) 1.10.17-1.el7
运行在以下环境
系统	ubuntu_18.04.5_lts	botan1.10	*		Up to (excluding) 1.10.17-0.1
运行在以下环境
系统	ubuntu_18.10	botan1.10	*		Up to (excluding) 1.10.17-0.1

阿里云评分 2.6

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com